Восемь дней назад (13 марта) израильская компания CTS Labs сообщила о наличии у процессоров AMD на архитектуре Zen 13 критических уязвимостей, которые дают злоумышленнику контроль над системой или доступ к чувствительным данным. Публикация, что интересно, последовала через 24 часа после уведомления компании AMD. По установленным правилам уведомление и публичное обнародование данных об уязвимости должны быть разнесены во времени на срок не менее 90 дней, чтобы разработчик успел выпустить заплатки. Как посчитали в CTS Labs, уязвимости настолько серьёзные, что компания AMD всё равно не успеет выпустить обновления в срок.

Вчера вечером AMD устами своего главного технолога Марка Пейпермастера (Mark Papermaster) сообщила, что для большинства из 13 уязвимостей, найденных CTS Labs, уже готовятся заплатки для исправления BIOS и это не повлечёт за собой снижения производительности пропатченных систем. Заплатки выйду в ближайшие недели. Исключение составляет уязвимость под кодовым именем Chimera. Для её устранения необходимо не только изменение BIOS, но и модификация некоторых чипсетов для платформ AM4 и TR4. Компания уже сотрудничает с производителем чипсетов для внесения в них необходимых изменений, но назвать сроки выпуска оных не может.

Также следует отметить, что несанкционированный доступ к данным с использованием всех 13 типов атак, обнаруженных CTS Labs, возможен только в случае доступа к системе с правами администратора, что само по себе серьёзная уязвимость. Иначе говоря, если злоумышленник смог получить права администратора, то дальше уже нет смысла выяснять, какая из уязвимостей опаснее. В общем, CTS Labs создала историю на ровном месте и, не исключено, что это было сделано с умыслом, так что эта история может получить неожиданное для исследователей продолжение.

2018-03-22